2020/957 Kararı Sunucu Geçişi Sürecinde Bordro E-Postalarının Yanlış Çalışanlara Gönderilmesi
Kişisel Verileri Koruma Kurulu’nun 15/12/2020 tarihli ve 2020/957 sayılı karar özeti; bir ilaç şirketinde güvenlik seviyesini artırmak amacıyla yeni sunucuya geçiş sürecinde sunucu parametrelerinin optimize edilmemesi nedeniyle oluşan sistemsel hata sonucunda, maaş bordrosu bildirimlerinin e-posta ile yanlış çalışanlara gönderilmesi olayını konu alır.
Bildirime göre olayda 337 çalışanın bordrosu yanlış kişilere iletilmiş; ihlal, yanlış bordro alan bir çalışanın İnsan Kaynakları birimine e-posta ile bildirmesiyle aynı gün tespit edilmiştir. Bordrolar maaş bilgisi ile birlikte ad-soyad, banka hesap numarası ve T.C. kimlik numarası gibi kişisel veriler içermektedir. Etkilenen kişi sayısı 337, kayıt sayısı 1348 olarak belirtilmiştir.
İhlal türü: Konfigürasyon/parametre hatası nedeniyle yanlış alıcıya e-posta.
Etkilenenler: 337 çalışan (kayıt: 1348).
Veri kategorileri: Bordro/maaş + kimlik (ad-soyad, TCKN) + finans (banka hesap no).
Kurul yaklaşımı: KVKK m.12/1 kapsamında bu aşamada işlem yok; ancak m.12/5 kapsamında
72 saat ve ilgili kişilere bildirim süreçlerinde daha dikkatli olunması ve tevsik edici belgelerin
sunulması yönünde talimatlandırma.
1. Hukuki Dayanak: KVKK m.12 ve Bildirim Yükümlülüğü
Kurul karar özetinde değerlendirme; ağırlıklı olarak 6698 sayılı Kanun m.12 kapsamındaki veri güvenliği yükümlülükleri ve m.12/5 kapsamındaki “en kısa sürede” bildirim sorumluluğu üzerinden yapılır.
1.1. KVKK m.12/1: Teknik ve İdari Tedbirler
Veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazayı sağlamak için uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almakla yükümlüdür. Bu vakada ihlal, bir sistemsel eşleştirme/parametre hatası ile ortaya çıktığı için, “değişiklik sonrası doğrulama” kontrollerinin kritik olduğu görülür.
1.2. KVKK m.12/5: 72 Saat ve İlgili Kişiye Bildirim
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu, durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Karar özetinde; Kurul’a bildirimin 72 saat içinde yapılması gerekliliğine dikkat çekilerek, bundan sonraki ihlallerde bu süreçte daha dikkatli olunması gerektiği vurgulanmıştır.
2. Olayın Özeti: Ne Oldu, Kim Etkilendi?
Bildirime göre ihlal; güvenlik seviyesini artırmak amacıyla yeni bir sunucuya geçiş sırasında, sunucu parametrelerinin optimize edilmemesi nedeniyle bordro bildirim e-postalarında sistemsel bir hata oluşmasıyla meydana gelmiştir. Sistem tarafından otomatik oluşturulan ve güncel bordroları içeren e-postalar, yanlış çalışanlara gönderilmiştir.
| Başlık | Detay |
|---|---|
| Karar | 15/12/2020 – 2020/957 |
| İhlal tipi | Sunucu geçişi/konfigürasyon hatası → bordro e-postalarının yanlış alıcıya gönderilmesi |
| Etkilenen kişi | 337 çalışan |
| Kayıt sayısı | 1348 |
| Etkilenen veriler (örnek) | Maaş bilgisi, ad-soyad, banka hesap numarası, T.C. kimlik numarası |
| Tespit şekli | Yanlış bordro alan çalışanın İK’ya e-posta ile bildirmesi |
3. Zaman Çizelgesi ve İhlalin Tespiti
Kurul karar özetinde; ihlalin 27.11.2020 tarihinde gerçekleştiği ve aynı gün tespit edildiği, ihlalin 13 dakika içinde fark edildiği ve yaklaşık 2 saat içinde sonlandırıldığı belirtilmiştir. Bu; müdahale hızının görece yüksek olduğuna işaret eder.
3.1. Olay Akışının Kısa Özeti
- Sunucu geçişi: Güvenlik artırımı amacıyla yeni sunucuya geçiş.
- Parametre/konfigürasyon hatası: E-posta alıcı eşleştirmesinde sistemsel hata.
- Yanlış alıcıya gönderim: Bordro e-postaları yanlış çalışanlara iletildi.
- Tespit: Bir çalışanın İK’ya e-posta ile bildirmesiyle aynı gün tespit.
- Müdahale: İhlale sebep olan e-postaların silinmesi ve alıcılara uyarı yapılması.
3.2. Kontrol Noktaları (Bu Vakadan Çıkan Ders)
- Değişiklik yönetimi: Sunucu geçişi gibi kritik değişikliklerde “test–doğrulama–yayın” adımlarının kayıt altına alınması.
- Alıcı doğrulama: Bordro gibi yüksek hassasiyetli iletimlerde alıcı eşleşmesinin otomatik ve manuel kontrollerle doğrulanması.
- Hızlı izolasyon: Hatalı gönderimi durduracak “kill-switch / gönderim durdurma” prosedürü.
4. Risk Analizi: Etki, Veri Türleri ve Yayılım
Kurul karar özetinde, ihlalin “çalışanların bordrolarının diğer çalışanlara gönderilmesi” şeklinde gerçekleşmesi nedeniyle olumsuz etki doğurma olasılığının düşük olduğu değerlendirmesine yer verilmiştir. Bununla birlikte, bordro verilerinin niteliği gereği gizlilik boyutunda dikkat gerektiren bir olaydır.
4.1. Etkilenen Veri Türleri
- Finansal bilgi: Maaş/bordro tutarları, banka hesap numarası
- Kimlik verisi: Ad-soyad, T.C. kimlik numarası
- İş ilişkisi bağlamı: Bordro, çalışanın iş ilişkisine dair düzenli bir bildirimi niteliğindedir
4.2. Yayılımın Sınırlandırılması
Karar özetinde; ihlale sebep olan e-postaların silindiği ve e-postaların gönderildiği kişilere gerekli uyarının yapıldığı, ayrıca ihlal sonrası teknik ve idari tedbirlerin alındığı ifade edilmiştir. Bu tür olaylarda, yayılımı azaltan tipik adımlar:
- Gönderim akışını durdurma ve hatalı kuralı devre dışı bırakma,
- Yanlış alıcıdan silme/geri dönüş teyidi alma,
- İlgili kişilere bildirim metinlerinin hazırlanması ve kayıtlanması,
- Olay dosyası: log, e-posta örnekleri, müdahale tutanakları ve tevsik belgeleri.
5. Uyum, Kontrol Listesi ve En İyi Uygulamalar
2020/957 karar özetinde; KVKK m.12/1 kapsamında bu aşamada veri sorumlusu hakkında işlem olmadığı belirtilirken, m.12/5 kapsamında Kurul’a bildirim ve ilgili kişilere bildirim süreçlerinde daha dikkatli olunması, ayrıca tevsik edici belgelerin Kurum’a sunulması yönünde talimatlandırma yer almaktadır.
5.1. Bordro/E-Posta Süreçleri için Mini Kontrol Listesi
- Değişiklik yönetimi: Sunucu geçişlerinde test planı, onay, geri dönüş planı (rollback) ve kayıt.
- Alıcı eşleştirme doğrulaması: ID–e-posta eşleşmelerinde çift kontrol, örneklem testleri.
- Yetkilendirme: Bordro üreten/sunan sistemlerde rol bazlı erişim; gereksiz yetkilerin kaldırılması.
- Veri minimizasyonu: E-posta içeriğinde zorunlu olmayan verilerin azaltılması.
- Olay müdahale: Yanlış alıcıya giden içerik için silme/teyit prosedürü ve kayıt.
- Bildirim standardı: 72 saat kuralına uyum; ilgili kişiye bildirim metinleri ve ispat dosyası.
5.2. “Tevsik Edici Belge” Ne Olabilir?
Karar özetinde vurgulanan tevsik ihtiyacı pratikte şu tür dokümanlarla karşılanır:
- İhlalin tespiti ve sonlandırılmasına ilişkin zaman damgalı kayıtlar,
- Hatalı e-postaların silindiğine dair ekran görüntüsü/kayıt,
- Yanlış alıcılara yapılan uyarı metni ve gönderim kayıtları,
- İlgili kişilere yapılan bildirim örnekleri,
- İhlal sonrası alınan teknik/idari tedbirlere dair kısa aksiyon raporu.
6. Sık Sorulan Sorular
Bu olay “veri ihlali” sayılır mı, yoksa sadece bir “hata” mı?
Yanlış alıcıya bordro e-postası gönderimi; kişisel verilerin yetkisiz bir kişiye ifşası sonucunu doğurduğu için veri ihlali değerlendirmesine konu olur. Kurul özetinde de olay “veri ihlali bildirimi” kapsamında incelenmiştir.
Kurul neden bu aşamada KVKK m.12/1 kapsamında işlem yapmadı?
Karar özetinde; ihlalin çok hızlı tespit edilip sonlandırıldığı, olumsuz etki olasılığının düşük olduğu ve ihlal sonrası tedbirlerin alındığı değerlendirmeleri yer alır. Bununla birlikte Kurul; bildirim süreçlerine (m.12/5) ilişkin dikkat ve ispat (tevsik) konularını özellikle vurgular.
“72 saat” kuralı neden bu kadar kritik?
KVKK m.12/5 kapsamında Kurul’a bildirimin “en kısa sürede” yapılması beklenir ve uygulamada Kurul kararlarında 72 saat standardına sıkça atıf yapılır. Geç bildirim, ayrıca bir uyum riski doğurabilir.
Benzer olaylar için en hızlı koruyucu önlem nedir?
Bordro gibi yüksek hassasiyetli iletimlerde; alıcı eşleştirme doğrulaması, yayın öncesi test, otomatik gönderim için emniyet kontrolleri ve yanlış alıcıdan silme/teyit prosedürü en hızlı etki eden önlemler arasındadır.
Kaynak: KVKK – 2020/957 karar özeti: https://www.kvkk.gov.tr/Icerik/7020/2020-957
